Like an actual firewall built to prevent fire from spreading between adjoining buildings, computer firewalls prevent the spread of unauthorized communication between an individual computer or group of networked computers and the Internet. One of the most effective ways to protect a home network—and the least expensive—is to create a firewall on the ICS host computer, and to make sure that computer is the only one on the network with a direct connection to the Internet.
Apa itu Firewall
Firewall merupakan satu proses yang menapis semua trafik di antara rangkaian yang dikawal iaitu rangkaian dalaman dengan mana-mana rangkaian luaran. Tujuan utama firewall digunakan adalah untuk memastikan sumber-sumber yang tidak dipercayai yang berada di luar rangkaian daripada memasuki persekitaran rangkaian dalaman.
Secara umumnya bolehlah kita katakan bahawa firewall mengimplementasikan polisi keselamatan rangkaian. Polisi keselamatan rangkaian ini mungkin dalam bentuk halangan pengaksesan maklumat dalaman oleh orang atau sumber luaran. Dalam situasi ini, mereka-mereka yang berada dalam rangkaian dalaman masih boleh mengakses sumber-sumber luaran. Dalam bentuk yang lebih fleksibel, sesetengah firewall mungkin dapat membenarkan pengaksesan atau pencapaian maklumat dalaman dari tempat tertentu, pengguna tertentu untuk tujuan aktiviti yang tertentu.
Komuniti firewall bergantung kepada sifat-sifat ataupun polisi keselamatan yang dilaksanakan oleh firewall tersebut. Maka, salah satu cabaran besar dalam perlindungan rangkaian ialah menentukan bentuk polisi keselamatan yang memenuhi keperluan pemasangannya. Maka, implementasi firewall perlulah memilih sifat komuniti firewall yang sesuai yang dapat mencapai maksud keselamatan rangkaian bagi sesuatu organisai tersebut.
Jenis-jenis Firewall
Terdapat 3 jenis firewall yang utama iaitu: 1. Screening Routers. 2. Proxy Gateways. 3. Guards (hybrid).
1. Screening Routers
Screening routers merupakan firewall yang paling ringkas dan pada sesetengah situasi ia merupakan jenis firewall yang paling efektif. Host biasanya tidak disambungkan terus kepada Wide Area Network (WAN), sebaliknya ia disambungkan kepada router, sejenis peranti yang akan menentukan laluan komunikasi ke destinasinya. Router hanya menjalankan tugas mudah iaitu menerima setiap packet, menyimpan dan mengemaskini data routing table dan seterusnya menghantar packet tersebut kepada salah satu daripada beberapa port fizikal yang akan menghantar packet tersebut ke destinasinya.
Sebagai contoh, katakan sebuah syarikat antarabangsa mempunyai 3 LAN di beberapa lokasi di seluruh dunia. Dalam contoh ini, router tersebut mempunyai dua bahagian, kita katakan yang LAN tempatan berada di bahagian dalam router dan 2 LAN yang lain yang berada dalam persekitaran Wide Area Network yang berada di luar router. Syarikat tersebut mungkin hanya membenarkan komunikasi di antara LAN milik syarikat tersebut. Oleh itu mereka boleh menggunakan screening router LAN pada 100.24.4.0 untuk hanya membenarkan masuk komunikasi yang didestinasikan pada host 100.24.4.0 dan hanya membenarkan keluar alamat komunikasi yang dialamatkan kepada 144.27.5.3 atau 192.19.33.0.
2. Proxy Gateway
Proxy gateway yang juga dikenali dengan nama bastion host, merupakan firewall yang mensimulasikan kesan yang betul pada aplikasi supaya aplikasi tersebut akan menerima hanya permintaan untuk bertindak dengan betul. Proxy gateway juga melaksanakan aplikasi pseudo. Contohnya, apabila mel elektronik dipindahkan ke sesuatu lokasi, proses penghantaran pada satu site dan proses menerima pada destinasi dikomunikasikan oleh satu protokol yang mengesahkan pemindahan mel dan kemudiannya secara fizikalnya memindahkan mesej mel tersebut. Protokol di antara penghantar dan destinasi, didefinasikan secara berhati-hati. Proxy gateway kemudiannya akan berada di tengah-tengah pertukaran protokol ini. Ia akan kelihatan seolah-olah destinasi dalam komunikasi dengan penghantar berada di luar firewall dan kemudian kelihatan seolah-olah seperti penghantar dalam komunikasi di mana destinasi sebenar berada di dalam.
Proxy ini mempunyai peluang untuk menapis perpindahan mel bagi memastikan hanya arahan protokol mel elektronik yang dapat diterima sahaja dihantar ke destinasi.
Untuk memahami lagi tujuan sebenar proxy gateway, mari kita lihat contoh berikut:
• Sebuah syarikat ingin membangunkan sebutharga secara online supaya pengguna dan pembeli luaran dapat melihat produk dan harga yang ditawarkan. Ia ingin memastikan tidak ada pengguna yang dapat menukar harga atau senarai produk yang ditawarkan. Ini bermakna pengguna hanya dapat mencapai maklumat sebutharga sahaja bukannya fail yang disimpan.
• Sebuah sekolah ingin membenarkan pelajarnya mendapatkan maklumat dari sumber World Wide Web di Internet. Untuk membantu pihak sekolah menyediakan perkhidmatan yang berkesan, mereka ingin mengetahu site mana yang telah dilawati oleh pelajar mereka dan fail apakah dari site tersebut yang disalin (copy) .
• Sebuah agensi kerajaan telah membangunkan satu maklumat statistik untuk faedah rakyat negara tersebut. Mereka menyediakan maklumat ini hanya untuk kegunaan rakyat negara tersebut. Menyedari bahawa mereka tidak dapat menghalang rakyat negara tersebut dari mengedarkan atau menyebarkan maklumat tersebut kepada rakyat asing, bagi kerajaan mengimplementasikan satu polisi iaitu membenarkan data dipindahkan hanya kepada alamat destinasi di dalam negara tersebut.
• Sebuah majikan ingin membenarkan capaian secara dial-in oleh pekerja mereka tanpa menyebabkan sumber syarikat mereka tersebar kepada serangan login oleh mereka yang bukan dari kalangan pekerja syarikat tersebut.
3. Guard
Guard merupakan proxy firewall yang sofistikated. Seperti proxy firewall, ianya menerima unit protokol data, menterjemahkannya dan dihantar menggunakan unit protokol data yang sama atau yang berbeza yang akan mencapai keputusan yang sama ataupun keputusan yang diubahsuai. Guard akan menentukan jenis perkhidmatan yang akan dilaksanakan bagi pihak pengguna berdasarkan pengetahuan yang dimikinya. Darjah kawalan yang mampu disediakan oleh guard adalah terhad kepada kemampuan pengkomputeran. Selain itu, tiada satu definasi yang jelas dan standard tentang bagaimana tahap sofistikatednya sesuatu proxy firewall sehingga ia boleh digelar guard.
Walaubagaimanapun, berikut adalah contoh aktiviti guard yang sofistikated:
• Sebuah universiti ingin menghadkan penggunaan e-mail oleh pelajarnya kepada beberapa mesej yang tertentu atau pada kadar character yang tertentu. Walaupun fungsi ini boleh dilaksanakan dengan cara mengubahsuai e-mail handlers, tetapi ianya lebih mudah dengan memantau tempat di mana semua e-mail melaluinya iaitu mail tansfer protocol.
• Sebuah sekolah ingin membenarkan para pelajarnya untuk mengakses World Wide Web tetapi kerana kelajuan penyambungan yang rendah, ia hanya membenarkan penerimaan beberapa character tertentu bagi setiap imej yang dibeban kebawah iaitu membenarkan penerimaan mod teks dan grafik mudah tetapi tidak membenarkan grafik yang kompleks, animasi, muzik atau sebagainya.
• Sebuah perpustakaan ingin membenarkan capaian kepada dokumen-dokumen yang dimilikinya. Tetapi bagi memastikan keadilan berkaitan penggunaan hakcipta, perpustakaan tersebut hanya membenarkan capaian bagi beberapa character tertentu bagi setiap dokumen. Capaian melebihi jumlah character yang dibenarkan akan dicaj dan akan diserahkan kepada pemegang hakcipta.
• Sebuah syarikat ingin membenarkan para pekerja untuk menggunakan kemudahan protokol pemindahan fail (file transfer protocol). Bagaimanapun, bagi mengelakkan kemungkinan virus, ia hanya akan membenarkan fail yang melalui pengimbas virus.
Apa yang boleh ditapis dan apa yang tidak boleh ditapis oleh Firewall?
• Firewall hanya boleh protect sesuatu persekitaran itu jika ia mengawal keseluruhan perimeter. Ini bermakna, firewall tidak boleh mengawal pengguna atau data yang tidak berada dalam persekitaran parameternya.
• Firewall tidak boleh mengawal sesuatu yang berlaku selepas pengguna telah melepasi authentication dan pemeriksaan capaian
.
Kebaikan Firewall
• Melindungi dari perkhidmatan yang sensitif. Firewall boleh meningkatkan keselamatan rangkaian dan mengurangkan risiko uantuk host dalam subnet dengan melaksanakan filter pada perkhidmatan yang tidak selamat.
• Mengawal capaian site sistem. Firewall juga menyediakan kebolehan mengawal capaian kepada site sistem.
• Tumpuan keselamatan. Firewall boleh mengurangkan kos organisasi memperbaiki perisian dan menambah keselamatan perisian yang boleh diletakkan dalam sistem firewall untuk mengelakkan daripada dibahagikan kepada beberapa host. Contohnya, perisian 'one time password system' dan 'add-on authentication' boleh diletakkan pada firewall untuk mengelakkan setiap sistem yang diperlukan dicapai dari internet.
• Logging dan statistik dalam rangkaian yang digunakan dan tidak digunakan. Jika capaian ke Internet atau dari Internet dibuat melalui firewall, firewall akan mencapai log dan menyediakan nilai statik tentang rangkaian yang digunakan.
• Policy Enforcement. Firewall menyediakan perlaksanaan dan memaksa rangkaian mencapai polisi. Kesannya, firewall mewujudkan kawalan capaian kepada pengguna dan perkhidmatan. Apabila polisi capaian rangkaian boleh dilakukan oleh firewall, maka walaupun tanpa firewall, polisi boleh bergantung kepada kerjasama pengguna.
Masalah yang berkaitan dengan firewall
• Menyekat capaian yang diingini Firewall boleh menghalang sesetengah perkhidmatan yang dikehendaki seperti Telnet, FTP dan X Windows. Bagaimanapun capaian rangkaian boleh menyekat pada paras host dengan baik, bergantung kepada polisi keselamatan site.
• Berpotensi besar untuk back door Firewall tidak menghalang back door dalam site. Contohya, jika modem yang tidak menyekat capaian sentiasa dibenarkan masuk ke dalam site yang dilindungioleh firewall, pihak luar boleh memasuki firewall dengan mudah.
• Sedikit perlindungan daripada pihak dalaman Firewall tidak dapat menyediakan perlindungan daripada ancaman dalaman. Semasa firewall mengawal pengguna dari luar daripada mencapai maklumat yang sensitif, firewall tidak dapat mengawal pihak dalaman daripada menyalin data tersebut dan membawanya keluar dari rangkaian.
Like an actual firewall built to prevent fire from spreading between adjoining buildings, computer firewalls prevent the spread of unauthorized communication between an individual computer or group of networked computers and the Internet. One of the most effective ways to protect a home network—and the least expensive—is to create a firewall on the ICS host computer, and to make sure that computer is the only one on the network with a direct connection to the Internet.
Apa itu Firewall
Firewall merupakan satu proses yang menapis semua trafik di antara rangkaian yang dikawal iaitu rangkaian dalaman dengan mana-mana rangkaian luaran. Tujuan utama firewall digunakan adalah untuk memastikan sumber-sumber yang tidak dipercayai yang berada di luar rangkaian daripada memasuki persekitaran rangkaian dalaman.
Secara umumnya bolehlah kita katakan bahawa firewall mengimplementasikan polisi keselamatan rangkaian. Polisi keselamatan rangkaian ini mungkin dalam bentuk halangan pengaksesan maklumat dalaman oleh orang atau sumber luaran. Dalam situasi ini, mereka-mereka yang berada dalam rangkaian dalaman masih boleh mengakses sumber-sumber luaran. Dalam bentuk yang lebih fleksibel, sesetengah firewall mungkin dapat membenarkan pengaksesan atau pencapaian maklumat dalaman dari tempat tertentu, pengguna tertentu untuk tujuan aktiviti yang tertentu.
Komuniti firewall bergantung kepada sifat-sifat ataupun polisi keselamatan yang dilaksanakan oleh firewall tersebut. Maka, salah satu cabaran besar dalam perlindungan rangkaian ialah menentukan bentuk polisi keselamatan yang memenuhi keperluan pemasangannya. Maka, implementasi firewall perlulah memilih sifat komuniti firewall yang sesuai yang dapat mencapai maksud keselamatan rangkaian bagi sesuatu organisai tersebut.
Jenis-jenis Firewall
Terdapat 3 jenis firewall yang utama iaitu:
1. Screening Routers.
2. Proxy Gateways.
3. Guards (hybrid).
1. Screening Routers
Screening routers merupakan firewall yang paling ringkas dan pada sesetengah situasi ia merupakan jenis firewall yang paling efektif.
Host biasanya tidak disambungkan terus kepada Wide Area Network (WAN), sebaliknya ia disambungkan kepada router, sejenis peranti yang akan menentukan laluan komunikasi ke destinasinya. Router hanya menjalankan tugas mudah iaitu menerima setiap packet, menyimpan dan mengemaskini data routing table dan seterusnya menghantar packet tersebut kepada salah satu daripada beberapa port fizikal yang akan menghantar packet tersebut ke destinasinya.
Sebagai contoh, katakan sebuah syarikat antarabangsa mempunyai 3 LAN di beberapa lokasi di seluruh dunia. Dalam contoh ini, router tersebut mempunyai dua bahagian, kita katakan yang LAN tempatan berada di bahagian dalam router dan 2 LAN yang lain yang berada dalam persekitaran Wide Area Network yang berada di luar router. Syarikat tersebut mungkin hanya membenarkan komunikasi di antara LAN milik syarikat tersebut. Oleh itu mereka boleh menggunakan screening router LAN pada 100.24.4.0 untuk hanya membenarkan masuk komunikasi yang didestinasikan pada host 100.24.4.0 dan hanya membenarkan keluar alamat komunikasi yang dialamatkan kepada 144.27.5.3 atau 192.19.33.0.
2. Proxy Gateway
Proxy gateway yang juga dikenali dengan nama bastion host, merupakan firewall yang mensimulasikan kesan yang betul pada aplikasi supaya aplikasi tersebut akan menerima hanya permintaan untuk bertindak dengan betul. Proxy gateway juga melaksanakan aplikasi pseudo. Contohnya, apabila mel elektronik dipindahkan ke sesuatu lokasi, proses penghantaran pada satu site dan proses menerima pada destinasi dikomunikasikan oleh satu protokol yang mengesahkan pemindahan mel dan kemudiannya secara fizikalnya memindahkan mesej mel tersebut. Protokol di antara penghantar dan destinasi, didefinasikan secara berhati-hati. Proxy gateway kemudiannya akan berada di tengah-tengah pertukaran protokol ini. Ia akan kelihatan seolah-olah destinasi dalam komunikasi dengan penghantar berada di luar firewall dan kemudian kelihatan seolah-olah seperti penghantar dalam komunikasi di mana destinasi sebenar berada di dalam.
Proxy ini mempunyai peluang untuk menapis perpindahan mel bagi memastikan hanya arahan protokol mel elektronik yang dapat diterima sahaja dihantar ke destinasi.
Untuk memahami lagi tujuan sebenar proxy gateway, mari kita lihat contoh berikut:
• Sebuah syarikat ingin membangunkan sebutharga secara online supaya pengguna dan pembeli luaran dapat melihat produk dan harga yang ditawarkan. Ia ingin memastikan tidak ada pengguna yang dapat menukar harga atau senarai produk yang ditawarkan. Ini bermakna pengguna hanya dapat mencapai maklumat sebutharga sahaja bukannya fail yang disimpan.
• Sebuah sekolah ingin membenarkan pelajarnya mendapatkan maklumat dari sumber World Wide Web di Internet. Untuk membantu pihak sekolah menyediakan perkhidmatan yang berkesan, mereka ingin mengetahu site mana yang telah dilawati oleh pelajar mereka dan fail apakah dari site tersebut yang disalin (copy) .
• Sebuah agensi kerajaan telah membangunkan satu maklumat statistik untuk faedah rakyat negara tersebut. Mereka menyediakan maklumat ini hanya untuk kegunaan rakyat negara tersebut. Menyedari bahawa mereka tidak dapat menghalang rakyat negara tersebut dari mengedarkan atau menyebarkan maklumat tersebut kepada rakyat asing, bagi kerajaan mengimplementasikan satu polisi iaitu membenarkan data dipindahkan hanya kepada alamat destinasi di dalam negara tersebut.
• Sebuah majikan ingin membenarkan capaian secara dial-in oleh pekerja mereka tanpa menyebabkan sumber syarikat mereka tersebar kepada serangan login oleh mereka yang bukan dari kalangan pekerja syarikat tersebut.
3. Guard
Guard merupakan proxy firewall yang sofistikated. Seperti proxy firewall, ianya menerima unit protokol data, menterjemahkannya dan dihantar menggunakan unit protokol data yang sama atau yang berbeza yang akan mencapai keputusan yang sama ataupun keputusan yang diubahsuai. Guard akan menentukan jenis perkhidmatan yang akan dilaksanakan bagi pihak pengguna berdasarkan pengetahuan yang dimikinya. Darjah kawalan yang mampu disediakan oleh guard adalah terhad kepada kemampuan pengkomputeran. Selain itu, tiada satu definasi yang jelas dan standard tentang bagaimana tahap sofistikatednya sesuatu proxy firewall sehingga ia boleh digelar guard.
Walaubagaimanapun, berikut adalah contoh aktiviti guard yang sofistikated:
• Sebuah universiti ingin menghadkan penggunaan e-mail oleh pelajarnya kepada beberapa mesej yang tertentu atau pada kadar character yang tertentu. Walaupun fungsi ini boleh dilaksanakan dengan cara mengubahsuai e-mail handlers, tetapi ianya lebih mudah dengan memantau tempat di mana semua e-mail melaluinya iaitu mail tansfer protocol.
• Sebuah sekolah ingin membenarkan para pelajarnya untuk mengakses World Wide Web tetapi kerana kelajuan penyambungan yang rendah, ia hanya membenarkan penerimaan beberapa character tertentu bagi setiap imej yang dibeban kebawah iaitu membenarkan penerimaan mod teks dan grafik mudah tetapi tidak membenarkan grafik yang kompleks, animasi, muzik atau sebagainya.
• Sebuah perpustakaan ingin membenarkan capaian kepada dokumen-dokumen yang dimilikinya. Tetapi bagi memastikan keadilan berkaitan penggunaan hakcipta, perpustakaan tersebut hanya membenarkan capaian bagi beberapa character tertentu bagi setiap dokumen. Capaian melebihi jumlah character yang dibenarkan akan dicaj dan akan diserahkan kepada pemegang hakcipta.
• Sebuah syarikat ingin membenarkan para pekerja untuk menggunakan kemudahan protokol pemindahan fail (file transfer protocol). Bagaimanapun, bagi mengelakkan kemungkinan virus, ia hanya akan membenarkan fail yang melalui pengimbas virus.
Apa yang boleh ditapis dan apa yang tidak boleh ditapis oleh Firewall?
• Firewall hanya boleh protect sesuatu persekitaran itu jika ia mengawal keseluruhan perimeter. Ini bermakna, firewall tidak boleh mengawal pengguna atau data yang tidak berada dalam persekitaran parameternya.
• Firewall tidak boleh mengawal sesuatu yang berlaku selepas pengguna telah melepasi authentication dan pemeriksaan capaian
.
Kebaikan Firewall
• Melindungi dari perkhidmatan yang sensitif.
Firewall boleh meningkatkan keselamatan rangkaian dan mengurangkan risiko uantuk host dalam subnet dengan melaksanakan filter pada perkhidmatan yang tidak selamat.
• Mengawal capaian site sistem.
Firewall juga menyediakan kebolehan mengawal capaian kepada site sistem.
• Tumpuan keselamatan.
Firewall boleh mengurangkan kos organisasi memperbaiki perisian dan menambah keselamatan perisian yang boleh diletakkan dalam sistem firewall untuk mengelakkan daripada dibahagikan kepada beberapa host. Contohnya, perisian 'one time password system' dan 'add-on authentication' boleh diletakkan pada firewall untuk mengelakkan setiap sistem yang diperlukan dicapai dari internet.
• Logging dan statistik dalam rangkaian yang digunakan dan tidak digunakan.
Jika capaian ke Internet atau dari Internet dibuat melalui firewall, firewall akan mencapai log dan menyediakan nilai statik tentang rangkaian yang digunakan.
• Policy Enforcement.
Firewall menyediakan perlaksanaan dan memaksa rangkaian mencapai polisi. Kesannya, firewall mewujudkan kawalan capaian kepada pengguna dan perkhidmatan. Apabila polisi capaian rangkaian boleh dilakukan oleh firewall, maka walaupun tanpa firewall, polisi boleh bergantung kepada kerjasama pengguna.
Masalah yang berkaitan dengan firewall
• Menyekat capaian yang diingini
Firewall boleh menghalang sesetengah perkhidmatan yang dikehendaki seperti Telnet, FTP dan X Windows. Bagaimanapun capaian rangkaian boleh menyekat pada paras host dengan baik, bergantung kepada polisi keselamatan site.
• Berpotensi besar untuk back door
Firewall tidak menghalang back door dalam site. Contohya, jika modem yang tidak menyekat capaian sentiasa dibenarkan masuk ke dalam site yang dilindungioleh firewall, pihak luar boleh memasuki firewall dengan mudah.
• Sedikit perlindungan daripada pihak dalaman
Firewall tidak dapat menyediakan perlindungan daripada ancaman dalaman. Semasa firewall mengawal pengguna dari luar daripada mencapai maklumat yang sensitif, firewall tidak dapat mengawal pihak dalaman daripada menyalin data tersebut dan membawanya keluar dari rangkaian.
rujukan:
http://zanapilly.blogspot.com/2010/06/20-apa-itu-firewall.html